„Facebook Messenger virus“ odstranění průvodce
Co je to „Facebook Messenger virus“?
„Facebook Messenger virus“ byl objeven Ido Naor. Kybernetičtí zločinci jej používají k šíření FormBooku, programu trojského typu, zasíláním různých souborů prostřednictvím služby Facebook Messenger. Pokud jsou tyto soubory otevřeny, způsobí instalaci výše zmíněného škodlivého programu.
Typicky lidé dostávají tyto soubory od svých přátel na Facebooku, kteří mají nainstalované nežádoucí (škodlivé) programy rozesílající spam. V našem příkladu je soubor připojený ke zprávě v aplikaci Messenger „video_13925.bz“. Tento archiv obsahuje další soubor („play_75367031.mp4.com“), který lze rozbalit pomocí programu 7-Zip. Po otevření se stáhne a nainstaluje trojský kůň FormBook. Tento program ukradne osobní údaje. Pomocí něj mohou kyberzločinci zaznamenávat stisky kláves a data schránky, pořizovat snímky obrazovky, krást uložená hesla/přihlašovací údaje atd. Některé z ukradených údajů mohou zahrnovat bankovní údaje. Kybernetičtí zločinci využívají všechna ukradená data ke generování příjmů. Jejich oběti se obvykle potýkají s problémy týkajícími se financí (finanční ztráta), bezpečnosti při procházení webu, ochrany soukromí a dalšími problémy. FormBook může být také použit ke stažení a instalaci dalších programů, a tak mohou být počítače obětí infikovány dalšími škodlivými programy, například ransomwarem. Pokud je počítač infikován programem FormBook, měl by být okamžitě odstraněn.
Název | Facebook Messenger spam virus |
Typ hrozby | Trojan, Password stealing virus, Banking malware, Spyware. |
Přílohy | Různé archivní soubory (např, „video_13925.bz“) |
Název detekce (video.exe) | Avira (TR/Autoit.oftwi), BitDefender (Trojan.GenericKD.41240919), ESET-NOD32 (varianta Win32/Autoit.OHP), Kaspersky (UDS:DangerousObject.Multi.Generic), Úplný seznam detekcí (VirusTotal) |
Příznaky | Trojany jsou navrženy tak, aby nenápadně pronikly do počítače oběti a zůstaly v tichosti. Na infikovaném počítači tedy nejsou jasně viditelné žádné konkrétní příznaky. |
Zátěž | TrojanFormBook |
Způsoby šíření | Infikované přílohy e-mailů, škodlivé online reklamy, sociální inženýrství, cracknutí softwaru. |
Škoda | Krádež bankovních informací, hesel, krádež identity, počítač oběti přidán do botnetu. |
Odstranění malwaru (Windows) |
Chcete-li odstranit případnou infekci malwarem, zkontrolujte počítač pomocí legitimního antivirového programu. Naši bezpečnostní výzkumníci doporučují používat Malwarebytes. |
FormBook je jen jedním z mnoha programů typu trojský kůň. Mezi další podobné škodlivé programy patří například Adwind, TrickBot, Tefosteal a LokiBot. Trojské koně obvykle kradou důvěrná, osobní data/informace a k šíření dalších infekcí. Mít jimi infikovaný počítač obvykle vede k vážným problémům.
Jak „Facebook Messenger virus“ infikoval můj počítač?“
V tomto konkrétním případě k šíření FormBooku používají kyberzločinci Facebook Messenger. Využívají k tomu účty lidí, kteří mají na svých počítačích nainstalované škodlivé programy. Jejich účty slouží k šíření FormBooku jednoduše tak, že odesílají přiložené soubory, které po rozbalení a otevření způsobí infekci počítače. Existují i další způsoby šíření těchto škodlivých programů. Například pomocí spamových kampaní, trojských koní, falešných nástrojů pro aktualizaci softwaru, nástrojů pro „crackování“ softwaru a různých pochybných zdrojů pro stahování softwaru. Zločinci rozesílají e-maily obsahující škodlivé přílohy, aby lidi přiměli k instalaci nežádoucích programů (nebo k infekci počítače) prostřednictvím spamových kampaní. Přílohy jsou obvykle soubory Microsoft Office, dokumenty PDF, archivy (ZIP, RAR a další), spustitelné soubory, soubory JavaScript atd. Po otevření se z nich stáhnou a nainstalují škodlivé programy. Trojské koně jsou programy určené k šíření dalších infekcí. Po instalaci způsobují řetězové infekce. Falešné (neoficiální) nástroje pro aktualizaci softwaru obvykle stahují a instalují spíše nežádoucí programy (malware) než aktualizace, opravy nebo využívají chyby/nedostatky zastaralého softwaru. Nástroje pro „crackování“ softwaru jsou programy, které umožňují uživatelům vyhnout se placení za aktivaci softwaru, kyberzločinci je však často používají k šíření počítačových infekcí. Namísto obcházení aktivace tyto nástroje často stahují a instalují škodlivé programy. K šíření škodlivého softwaru mohou být využívány sítě P2P (Peer-to-Peer), webové stránky pro bezplatný hosting souborů, webové stránky pro stahování freewaru, neoficiální stránky, stahovače třetích stran a další podobné zdroje. Obvykle jsou škodlivé soubory (spustitelné soubory) prezentovány jako legitimní. Jejich stažením a otevřením lidé často nainstalují nežádoucí programy a způsobí infekci počítače.
Jak se vyhnout instalaci malwaru?
Dávejte si pozor na přílohy nebo webové odkazy přijaté z neznámých, podezřelých adres. Pokud je předmět a kontext e-mailu irelevantní, přílohu neotvírejte. Ke stahování softwaru používejte oficiální a důvěryhodné zdroje. Výše zmíněné nástroje nejsou nejbezpečnějšími způsoby, jak toho dosáhnout. Důležité je aktualizovat nainstalovaný software pomocí implementovaných funkcí a nástrojů poskytovaných/navržených oficiálními vývojáři softwaru. Pokud nainstalovaný software vyžaduje placenou aktivaci, neměla by být prováděna pomocí „crackovacího“ nástroje. Ty jsou nelegální a často způsobují instalaci škodlivých programů. Důležité je také mít nainstalovaný renomovaný antivirový a/nebo antispywarový software. Tyto nástroje mohou odhalit a odstranit různé hrozby dříve, než se stihnou rozšířit nebo napáchat škody. Pokud jste již otevřeli přílohu „Facebook Messenger virus“, doporučujeme spustit kontrolu pomocí programu Malwarebytes for Windows, který automaticky odstraní infiltrovaný škodlivý software.
Snímek obrazovky souborů připojených ke zprávě (umístěných na ploše) a procesu FormBook maskovaného jako „Service Host: Místní systém“ ve Správci úloh:
Instantní automatické odstranění malwaru:Ruční odstranění hrozby může být zdlouhavý a složitý proces, který vyžaduje pokročilé počítačové dovednosti. Malwarebytes je profesionální nástroj pro automatické odstranění malwaru, který se doporučuje k odstranění malwaru. Stáhněte si jej kliknutím na tlačítko níže:
▼ STÁHNOUT MalwarebytesStažením jakéhokoli softwaru uvedeného na této webové stránce souhlasíte s našimi zásadami ochrany osobních údajů a podmínkami použití. Chcete-li používat plnohodnotný produkt, musíte si zakoupit licenci na Malwarebytes. K dispozici je 14denní bezplatná zkušební verze.
Rychlé menu:
- Co je to „Facebook Messenger virus“?
- KROK 1. Ruční odstranění malwaru FormBook.
- KROK 2. Zkontrolujte, zda je váš počítač čistý.
Jak odstranit malware ručně?“
Ruční odstranění malwaru je složitý úkol – obvykle je nejlepší nechat to provést antivirové nebo antimalwarové programy automaticky. K odstranění tohoto malwaru doporučujeme použít Malwarebytes pro Windows. Pokud chcete malware odstranit ručně, je prvním krokem identifikace názvu malwaru, který se snažíte odstranit. Zde je příklad podezřelého programu spuštěného v počítači uživatele:
Pokud jste zkontrolovali seznam programů spuštěných v počítači, například pomocí správce úloh, a identifikovali jste program, který vypadá podezřele, měli byste pokračovat těmito kroky:
Stáhněte si program s názvem Autoruns. Tento program zobrazuje automaticky spouštěné aplikace, registr a umístění souborového systému:
Restartujte počítač do nouzového režimu:
Uživatelé systémů Windows XP a Windows 7: Spusťte počítač v nouzovém režimu. Klikněte na tlačítko Start, na tlačítko Vypnout, na tlačítko Restartovat a na tlačítko OK. Během spouštění počítače stiskněte na klávesnici několikrát klávesu F8, dokud se nezobrazí nabídka Upřesnit možnosti systému Windows, a poté ze seznamu vyberte možnost Nouzový režim se sítí.
Video ukazující, jak spustit systém Windows 7 v „Nouzovém režimu se sítí“:
Uživatelé systému Windows 8:
Připojte se k systému Windows 7 a vyberte možnost Nouzový režim se sítí: Spuštění systému Windows 8 v nouzovém režimu se sítí – Přejděte na úvodní obrazovku systému Windows 8, zadejte příkaz Upřesnit, ve výsledcích vyhledávání vyberte možnost Nastavení. Klepněte na tlačítko Upřesnit možnosti spuštění, v otevřeném okně „Obecná nastavení počítače“ vyberte možnost Upřesnit spuštění. Klikněte na tlačítko „Restartovat nyní“. Počítač se nyní restartuje do nabídky „Rozšířené možnosti spuštění“. Klikněte na tlačítko „Troubleshoot“ a poté na tlačítko „Advanced options“. Na obrazovce rozšířených možností klikněte na položku „Startup settings“ (Nastavení spouštění). Klikněte na tlačítko „Restartovat“. Počítač se restartuje do obrazovky „Startup Settings“ (Nastavení spouštění). Stisknutím klávesy F5 spustíte systém v nouzovém režimu se sítí.
Video ukazující, jak spustit systém Windows 8 v „nouzovém režimu se sítí“:
Uživatelé systému Windows 10: Stiskněte klávesu F5: Klepněte na logo Windows a vyberte ikonu Napájení. V otevřené nabídce klikněte na tlačítko „Restartovat“ a zároveň podržte tlačítko „Shift“ na klávesnici. V okně „vybrat možnost“ klikněte na „Odstranit potíže“, dále vyberte „Rozšířené možnosti“. V nabídce rozšířených možností vyberte položku „Startup Settings“ a klikněte na tlačítko „Restartovat“. V následujícím okně byste měli kliknout na tlačítko „F5“ na klávesnici. Tím se operační systém restartuje v nouzovém režimu se sítí.
Video ukazující spuštění systému Windows 10 v „nouzovém režimu se sítí“:
Extrahujte stažený archiv a spusťte program Autoruns.exe.
V aplikaci Autoruns klikněte nahoře na „Možnosti“ a zrušte zaškrtnutí možností „Skrýt prázdná místa“ a „Skrýt položky systému Windows“. Po tomto postupu klikněte na ikonu „Obnovit“.
Podívejte se do seznamu poskytnutého aplikací Autoruns a vyhledejte soubor se škodlivým softwarem, který chcete odstranit.
Měli byste zapsat jeho úplnou cestu a název. Všimněte si, že některý malware skrývá názvy procesů pod legitimními názvy procesů systému Windows. V této fázi je velmi důležité vyhnout se odstraňování systémových souborů. Po vyhledání podezřelého programu, který chcete odstranit, klikněte pravým tlačítkem myši na jeho název a vyberte možnost „Odstranit“.
Po odstranění malwaru prostřednictvím aplikace Autoruns (tím zajistíte, že se malware při příštím spuštění systému automaticky nespustí) byste měli v počítači vyhledat název malwaru. Před pokračováním nezapomeňte povolit skryté soubory a složky. Pokud název souboru malwaru najdete, nezapomeňte jej odstranit.
Znovu spusťte počítač v normálním režimu. Po provedení těchto kroků by měl být z počítače odstraněn veškerý malware. Upozorňujeme, že ruční odstranění hrozeb vyžaduje pokročilé počítačové dovednosti. Pokud tyto dovednosti nemáte, přenechte odstranění malwaru antivirovým a antimalwarovým programům. Tyto kroky nemusí fungovat u pokročilých infekcí malwarem. Jako vždy je lepší infekci předcházet, než se snažit malware odstranit později. Aby byl váš počítač v bezpečí, nainstalujte nejnovější aktualizace operačního systému a používejte antivirový software.
Chcete-li mít jistotu, že váš počítač není napaden malwarem, doporučujeme provést jeho kontrolu pomocí programu Malwarebytes for Windows.
.